[AWS] 2. VPC Flow Logs를 사용하여 IP 트래픽 로깅

VPC Flow Logs

• VPC Flow Logs는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다.
• 플로우 로그 데이터는 Amazon CloudWatch Logs 또는 Amazon S3에 게시될 수 있으며, 플로우 로그를 생성한 다음 선택된 대상의 데이터를 가져와 확인할 수 있습니다.
• 또한, 플로우 로그 데이터는 네트워크 트래픽 경로 외부에서 수집되므로 네트워크 처리량이나 지연 시간에 영향을 주지 않습니다.

 

네트워크 인터페이스에 대한 플로우 로그를 생성할 수 있는 다른 AWS 서비스

• Elastic Load Balancing
• Amazon RDS
• Amazon ElastiCache
• Amazon Redshift
• Amazon WorkSpaces
• NAT gateways
• Transit gateways

 

플로우 로그 레코드의 예

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records-examples.html

Flow log record examples - Amazon Virtual Private Cloud

 

 

실습

구성 아키텍처

 

CloudWatch Logs에 플로우 로그 게시를 위한 IAM 역할 생성

IAM 콘솔에서 역할을 선택한 후, 역할 만들기를 클릭합니다.

사용자 지정 신뢰 정책을 선택하여 플로우 로그 서비스가 역할을 맡도록 허용하는 신뢰 관계를 작성한 후, 맨 아래 다음을 클릭합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

 

정책 생성을 클릭합니다.

JSON을 선택하여 CloudWatch Logs의 지정된 로그 그룹에 플로우 로그를 게시할 수 있는 권한을 작성한 후, 다음을 클릭합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}   

 

정책 이름을 입력하고, 정책 생성을 클릭합니다.

다시 권한 추가 페이지로 돌아와서 새로 고침을 합니다. 그리고 생성한 정책을 선택한 후, 다음을 클릭합니다.

역할 이름을 입력한 후, 맨 아래 역할 생성을 클릭합니다.

 

CloudWatch Logs에 게시하는 플로우 로그 생성

CloudWatch 콘솔에서 로그 그룹을 선택한 후, 로그 그룹 생성을 클릭합니다.

로그 그룹 이름을 입력한 후, 생성을 클릭합니다.

플로우 로그를 생성할 VPC를 선택한 후, 플로우 로그 부분에서 플로우 로그 생성을 클릭합니다.

플로우 로그 이름을 입력하고, 빠른 집계를 위해 집계 간격을 1분으로 선택합니다. 그리고 생성한 로그 그룹을 선택합니다.

생성한 IAM 역할을 선택한 후, 플로우 로그 생성을 클릭합니다.

 

확인

해당 VPC에 인스턴스를 생성한 후, 네트워킹 부분에서 네트워크 인터페이스를 확인합니다.

생성한 로그 그룹을 보면, 해당 인스턴스의 네트워크 인터페이스에 대한 로그 스트림이 생성된 것을 확인할 수 있고, 로그 스트림을 클릭하여 로그 이벤트를 자세히 볼 수 있습니다.